Εξελιγμένη προστασία με βάση 3 σημεία

Λόγω λοιπόν της φύσεως των επιθέσεων σήμερα καθώς επίσης και της πολυπλοκότητάς των δικτύων, η προστασία από προηγμένες επιθέσεις θα πρέπει να είναι συνολική και αποτελεσματική

Δυστυχώς, το 2015 ήταν μια ακόμα χρονιά η οποία έκλεισε με τον ίδιο ακριβώς τρόπο που έκλεισε και το 2014, δηλαδή με ένα μεγάλο αριθμό από στοχευμένες και επιτυχημένες επιθέσεις υποκλοπής δεδομένων (data breaches) σε μεγάλους οργανισμούς. Ασχέτως από τα κίνητρα και τους σκοπούς τέτοιων επιθέσεων, φαίνεται ότι σήμερα κατά μέσο όρο πραγματοποιείται μια επίθεση την εβδομάδα αν όχι περισσότερες. Μετά τα γεγονότα του 2014, η χρονιά που σημειώθηκαν τα περισσότερα data breaches, πως είναι δυνατόν αυτό να συνεχίζεται και το 2015 και μάλιστα με ένα τόσο ανησυχητικό ρυθμό?

Σύμφωνα με το Verizon 2016 Data Breach Investigation Report, τα βασικότερα κίνητρα εξακολουθούν να είναι οικονομικού χαρακτήρα, σε ποσοστό 34%, το οποίο όμως φαίνεται να μειώνεται. Αυτό που αυξάνεται είναι οι επιθέσεις άλλων αιτίων, σε ποσοστό 25%. Φαίνεται λοιπόν ότι πλέον δε γίνονται μόνο επιθέσεις οι οποίες σχετίζονται άμεσα με οικονομικά αίτια. Για το λόγο αυτό αναφέρει και ο Gartner, «όλοι οι οργανισμοί θα πρέπει να θεωρήσουν ότι είναι σε μια κατάσταση συνεχούς κινδύνου».

Γιατί όμως οι επιθέσεις αυτές συνεχίζουν και συμβαίνουν? Σήμερα στο Internet υπάρχουν εύκολα προσβάσιμα δωρεάν εργαλεία τα οποία δίνουν τη δυνατότητα δημιουργίας advanced malware με μηδέν προγραμματιστικές ικανότητες. Οπότε το ρίσκο σε σχέση με το αποτέλεσμα είναι πολύ μικρό. Ένας εξίσου σημαντικός λόγος είναι ότι οι hackers έχουν τη δυνατότητα να εισέρχονται σε ένα δίκτυο και να παραμείνουν σε αυτό για 6-7 μήνες. Σε αυτό το χρονικό διάστημα έχουν την ελευθερία να ψάξουν ανενόχλητοι το δίκτυο του οργανισμού ώστε να δούνε αν υπάρχει κάτι ενδιαφέρον για να πάρουν. Τις  περισσότερες φορές ο οργανισμός θα ενημερωθεί για την επίθεση αυτή από κάποιον τρίτο, όπως ένα εξωτερικός auditor.

Με τον προϋπολογισμό που διατίθεται αυτές τις ημέρες για τις ανάγκες του IT Security, θα έπρεπε οι οργανισμοί να είναι σε θέση να αντιμετωπίσουν αποτελεσματικά τέτοιου είδους επιθέσεις. Ο λόγος που συνεχίζουμε και γινόμαστε μάρτυρες τέτοιων περιστατικών είναι εξαιτίας της νοοτροπίας με την οποία προσεγγίζουν οι περισσότεροι οργανισμοί την υλοποίηση ασφάλειας του δικτύου τους. Η νοοτροπία αυτή απαριθμείται σε 3 κατηγορίες: compliance-based, risk-based και point-solution based.

Compliant–based, γιατί οι περισσότεροι οργανισμοί θεωρούν ότι είναι ασφαλείς ακριβώς επειδή ικανοποιούν τις κανονιστικές συμμορφώσεις και είναι “compliant” με αυτές. Τέτοιες απαιτήσεις όμως είναι έγγραφα πολύ γενικά, χωρίς συγκεκριμένες κατευθύνσεις. Για παράδειγμα το PCI-DSS αναφέρει ότι ο οργανισμός θα πρέπει να έχει εγκατεστημένο Firewall. Είναι όμως αυτή η απαίτηση αρκετή από μόνη της?

Risk–based, γιατί βλέπουμε πολλούς οργανισμούς να βασίζουν την στρατηγική ασφάλειας τους με βάση κάποιο risk assessment που πραγματοποιήσανε στο δίκτυο τους. Οι εξελίξεις όμως στην ασφάλεια είναι τόσο δυναμικές, ώστε ένα assessment που έγινε σήμερα, είναι παρωχημένο στους επόμενους 2-3 μήνες.

Pointsolutions, γιατί σήμερα σε ένα οργανισμό διακρίνουμε πολλές λύσεις ασφάλειας από διαφορετικούς κατασκευαστές. Και ενώ αυτές μπορεί να είναι οι καλύτερες της αγοράς και να λειτουργούν σύμφωνα με τις προδιαγραφές των κατασκευαστών, δεν είναι σχεδιασμένες ώστε να συνεργάζονται μεταξύ τους. Άρα τελικά δημιουργούνται μεταξύ τους κενά ασφαλείας, κενά που μπορεί να εκμεταλλευτεί ένας hacker.

Πως μπορεί ένας οργανισμός να προστατευτεί από τέτοιου είδους στοχευμένες επιθέσεις?

Για να καλύψει αυτές τις ανάγκες, η Fortinet δημιούργησε το AdvancedThreatProtectionFramework το οποίο αποτελείται από 3 στοιχεία, Prevent, Detect και Mitigate.

Το Prevent στοιχείο είναι υπεύθυνο για την αντιμετώπιση ων γνωστών επιθέσεων, δηλαδή όλων των επιθέσεων που μπορούν να αντιμετωπιστούν με χρήστη πολιτικών και signatures. Έτσι λοιπόν υπάρχει το FortiGate που είναι η λύση NextGenerationFirewall της Fortinet, το FortiMail, η λύση SecureEmailGateway, το FortiWeb, η λύση WebApplicationFirewall και το FortiClient, η λύση EndPointSecurity.

Όλες αυτές οι λύσεις προστατεύουν ένα δίκτυο με βάση τις πολιτικές και τα signatures τα οποία διαθέτουν. Η ενημέρωση των signatures γίνεται από την υπηρεσία threat intelligence, το FortiGuard. Tο FortiGuard δεν είναι μια απλή υπηρεσία threat intelligence, αλλά ένα ολόκληρο οικοσύστημα το οποίο αποτελείται από πολλαπλά στοιχεία που συνεργάζονται μεταξύ τους. Πιο αναλυτικά αποτελείται από τα Fortinet devices ή sensors τα οποία δέχονται ενημερώσεις από τα FortiGuard Services και στέλνουν σε πραγματικό χρόνο ενημερώσεις για τις επιθέσεις που δέχονται στα FortiGuardLabs. Tα FortiGuard Labs αποτελούνται από μια ομάδα εξειδικευμένων ερευνητών οι οποίοι αναλύουν όλη τη πληροφορία που συλλέγεται από τους sensors και ενημερώνουν τα FortiGuard Services. Επίσης τα FortiGuard labs έχουν συνεργασία με 3^rd υπηρεσίες, όπως το Cyber Threat Alliance, EXODUS, Cert, κ.α. , ώστε να μοιράζονται threat intelligence πληροφορίες.

Όπως όμως αναφέραμε οι σημερινές επιθέσεις είναι προηγμένες και στοχευμένες και επομένως η λύση Prevent θα πρέπει να συνεργάζεται με μια λύση Detect που θα μπορεί να αναγνωρίσει νέες άγνωστες επιθέσεις. Για να καλύψουμε το Detect στοιχεία εισάγουμε τη λύση FortiSadbox. Το FortiSandbox είναι σε θέση να αναγνωρίζει 0-day attacks, επιθέσεις δηλαδή οι οποίες είναι προηγμένες και στοχευμένες για συγκεκριμένο οργανισμό. Το FortiSandbox διαθέσει μηχανισμούς οι οποίοι μπορούν να αναγνωρίσουν την συμπεριφορά ενός αρχείου (exe, pdf, docx, κλπ) «εκτελώντας» το σε ένα εικονικό περιβάλλον.

Τέλος το Integration του οικοσυστήματος ολοκληρώνεται με το Mitigation. Στο Mitigation, οποιαδήποτε νέα απειλή αναγνωριστεί από το FortiSandbox, αυτή γίνεται αυτόματα και δυναμικά signature και ενημερώνει την dynamic malware και URL database των λύσεων που ανήκουν στην κατηγορία Prevent.

Λόγω λοιπόν της φύσεως των επιθέσεων σήμερα καθώς επίσης και της πολυπλοκότητάς των δικτύων, η προστασία από προηγμένες επιθέσεις θα πρέπει να είναι συνολική και αποτελεσματική. Το Fortinet Advanced Threat Prevention Framework, είναι σε θέση να καλύψει ολόκληρη την υποδομή ενός οργανισμού, όσο περίπλοκος αυτός μπορεί να είναι, αφού μπορεί και συνδυάζει, Mail, Web, Endpoint και WAF από την ίδια πλατφόρμα.

Αντώνης Πρωϊμάδης

Senior Presales Engineer

Fortinet